Thursday, October 18th, 2018

Создание VPN по схеме Site-to-Site с помощью Мастера настройки соединения с филиалом сервера ISA 2006 (Часть 5)

Published on Февраль 11, 2009 by   ·   Комментариев нет

Создание файла ответов наиса для использования его в мастере настройки соединения сфилиалом на ISA-сервере филиала.

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Вариант с контроллером домена в филиале

В первых четырех частях статьи об использовании мастера настройки соединения филиала и главного офиса мы рассмотрели инфраструктуру тестовой сети, обсудили важные концепции создания VPN по схеме site-to-site, настроили вспомогательные сетевые службы, установили сервер хранения настроек, ISA-серверы главного офиса и филиала. В конце третьей части ISA-сервер филиала был готов к получению файла ответов, который будет использован мастером настройки соединения с филиалом. В части 4 мы создали сеть для связи главного офиса и филиала.

В данной, пятой, части мы закончим основную настройку VPN по схеме site-to-site, создав файл ответов, который будет использовать мастер настройки соединения на ISA-сервере филиала. Мы закончим эту статью запуском мастера настройки соединения на ISA-сервере для создания VPN по схеме site-to-site и присоединения ISA-сервера филиала к домену.

Создание фала ответов для VPN-соединения по схеме Site-to-Site на ISA-сервере главного офиса

Теперь мы готовы создать файл ответов, который будет использовать мастер настройки соединения на ISA-сервере филиала для создания VPN по схеме site-to-site и присоединения ISA-сервера филиала к домену. Данный фал будет использовать информацию о VPN-соединении, созданном на ISA-сервере главного офиса, поэтому вначале необходимо создать VPN-соединение на ISA-сервере главного офиса для связи с филиалом.

Файл ответов мы скопируем в корень диска C: ISA-сервера филиала. Если вы не хотите использовать корень диска C:, вы можете поместить файл на переносном носителе, например на USB-диске. Мастер настройки соединения автоматически производит поиск файла в корне диска C: и на переносных носителях.

При запуске мастера создания файла ответов помните, что соединение, создаваемое с его помощью, относится к ISA-серверу филиала, т.е., если в мастере есть указание на локальный узел, имеется в виду филиал, а если мастер указывает на удаленный узел, имеется в виду главный офис.

Для создания файла ответов на сервере хранения настроек выполните следующее:

  1. В панели задач щелкните по ссылке Create Answer File for Remote VPN Site (Создать файл ответов для удаленного VPN-узла). На странице Welcome to the Create Answer File Wizard (Начало работы мастера создания файла ответов) нажмите Next (Далее).

    Альтернативный сервер хранилища настроек isa 2006

    Рисунок 1

  2. На странице Answer File Details (Детали файла ответов) введите в поле Type the full path to the answer file (Введите полный путь к файлу ответов) полный путь к файлу ответов. Если вы хотите, чтобы мастер настройки соединения нашел файл автоматически, обязательно назовите файл IsaUsrConfig.inf. В нашем примере мы сохраним файл в корне диска C: сервера хранения настроек. Нажмите Next (Далее).

    Как присоединиить провода впн?

    Рисунок 2

  3. На странице Connection Type (Тип соединения) вам не предлагается никаких вариантов, поскольку VPN-протокол, использующийся в соединении, берется из существующих настроек. Нажмите Next (Далее).

    Мастер настройки сервера

    Рисунок 3

  4. На странице Array Server Deployment (Расположение серверов в массиве) выберите пункт This is the first server deployed in the array (Это первый сервер массива). Если бы в массиве были еще серверы, мы бы выбрали пункт Another server is already deployed in the array (В массиве уже есть другой сервер), а затем указали бы внутренний IP-адрес этого сервера для разрешения соединений между членами массива. Нажмите Next (Далее).

    Построение vpn с филиалом

    Рисунок 4

  5. На странице Local Site to Site Authentication (Локальная аутентификация для схемыSite-to-Site) автоматически подставляется имя Main. Это имя учетной записи пользователя ISA-сервера филиала, которую будет использовать ISA-сервер главного офиса для аутентификации в филиале. Мастер автоматически создаст эту запись на ISA-сервере филиала и даст ей разрешение на удаленный доступ. Нажмите Next (Далее).

    Хранение учетной записи на удаленном сервере

    Рисунок 5

  6. На странице Remote Site VPN IP Addresses (IP-адрес удаленного VPN-узла) автоматически появятся адреса, определенные во внутренней сети главного офиса. Введите IP-адрес ISA-сервера главного офиса в поле Remote VPN server (IP address or name) (Удаленный VPN-сервер (IP-адрес или имя)). Помните, что в мастере создания файла ответов удаленным узлом является главный офис. Нажмите Next (Далее).

    Vpn через компьютер

    Рисунок 6

  7. На странице Local Network VPN Settings (Установки VPN для локальной сети) выберите параметр Static IP address pool (Диапазон статических IP-адресов). Эта опция выбрана по той простой причине, что у нас в филиале нет DHCP-сервера. Если в дальнейшем мы установим в филиале DHCP-сервер, мы сможем изменить настройки IP-адресов для VPN. Нажмите кнопку Add Range (Добавить диапазон). В диалоговом окне IP Address Range Properties (Свойства диапазона IP-адресов) введите диапазон IP-адресов, который ISA-сервер филиала будет использовать для назначения адресов VPN-клиентам и удаленным VPN-шлюзам. В нашем примере мы вводим 10.0.1.252 как Start address (Начальный адрес) и 10.0.1.254 как End address (Конечный адрес). Нажмите OK, а затем нажмите Next (Далее) на странице Local Network VPN Settings (Установки VPN для локальной сети).

    Альтернативный сервер хранилища настроек

    Рисунок 7

  8. На странице Remote Authentication (Удаленная аутентификация) введите учетные данные, используемые филиалом для аутентификации на ISA-сервере главного офиса. Мы уже создали учетную запись Branch на ISA-сервере главного офиса. Это имя мы и вводим на данной странице. Это локальная учетная запись, поэтому в поле Domain (Домен) укажите имя ISA-сервера главного офиса и нажмите Next (Далее).

    Готовая схема построения сети офиса

  9. Рисунок 8

  10. На странице IPSec Authentication (IPSec-аутентификация) решите, будете ли вы использовать для соединений IPSec сертификаты или общие ключи. В нашем примере мы для начала будем использовать общие ключи, а затем, когда все будет работать, начнем использовать аутентификацию с помощью сертификатов. Выберите опцию Use pre-shared key (Использовать общий ключ) и введите наш ключ 123. Нажмите Next (Далее).

    Мастер настройки сервера

    Рисунок 9

  11. На странице Join Remote Domain (Присоединение к удаленному домену) выберите опцию Join a domain (Присоединить к домену). Это даст мастеру настройки соединения присоединит ISA-сервер филиала к домену. Такая установка будет более безопасной и более гибкой. В поле Domain name (FQDN) (Имя домена (FQDN)) введите имя FQDN домена главного офиса. В нашем примере доменом главного офиса является msfirewall.org, это имя мы и вводим в соответствующее поле. Нажмите Next (Далее).

    Полные настройки готового сервера в картинках

    Рисунок 10

  12. Появится окно Join Domain (Присоединить к домену). Введите имя и пароль пользователя, обладающего правами на присоединение компьютеров в домен (например, администратора домена) и нажмите OK.

    Хранение учетной записи на удаленном сервере

    Рисунок 11

  13. На странице Locate Configuration Storage Server (Локальный сервер хранения настроек) введите в текстовое поле Configuration Storage Server (type the FQDN) (Имя сервера хранения настроек) имя сервера хранения настроек. Это должно быть полностью определенное доменное имя FQDN, а не IP-адрес или имя NetBIOS. Выберите опцию Connect using this account (Соединяться с помощью этой учетной записи) из раздела Connection Credentials (Учетные данные для соединения). Совсем не обязательно выбирать этот параметр, но я обнаружил, что иногда установка ISA-сервера зависает после перезагрузки, если вы зарегистрированы как пользователь домена, поэтому гораздо эффективнее регистрироваться как администратор домена, а в мастере настройки соединения использовать необходимые учетные данные. Нажмите Next (Далее).

    Alternate securely published configuration storage server

    Рисунок 12

  14. На странице Securely Published Configuration Storage Server (Безопасно опубликованный сервер хранения настроек) вы указываете альтернативную конфигурацию сервера для использования ее в случаях неполадок VPN-соединения или невозможности его установки. При публикации сервера хранения настроек информация передается по шифрованному TLS-туннелю, и потому передача по сети Интернет происходит в безопасном режиме. Вы публикуете альтернативный сервер хранения настроек главного офиса на ISA-сервере главного офиса, а ISA-сервер филиала соединяется с ним с помощью правила публикации сервера. Для использования этой возможности вам нужно установить сертификат центра сертификации, выдавшего сертификат серверу хранения настроек на ISA-сервере филиала в хранилище Доверенных корневых центров сертификации. Ниже я покажу, как создать альтернативный сервер хранения настроек и опубликовать его, а затем мы настроим ISA-сервер филиала на его использование. Но пока у нас есть только один сервер хранения настроек, поэтому примите значения по умолчанию и нажмите Next (Далее).

    Альтернативный сервер хранилища настроек

    Рисунок 13

  15. На странице Array Membership (Членство в массиве) выберите Join an existing array (Присоединить к существующему массиву). В филиале у нас уже есть массив, поэтому мы можем выбрать данный параметр и массив. Нажмите Next (Далее).

    Ввод в домен через vpn

    Рисунок 14

  16. На странице Join Existing Array (Присоединение к существующему массиву) введите имя массива, в который вы хотите ввести ISA-сервер филиала. Обратите внимание, что кнопка Browse (Просмотр) в данном случае не работает. В нашем примере мы создали для ISA-сервера филиала массив Branch, поэтому введите это имя. Нажмите Next (Далее).

    Как создать vpn с доменом?

    Рисунок 15

  17. На странице Configuration Storage Server Authentication Options (Варианты аутентификации сервера хранения настроек) выберите параметр Windows authentication (Аутентификация Windows). Данный вариант мы используем для того, чтобы ввести ISA-сервер в домен. Членство в домене даст нам не только повышенный уровень безопасности и гибкость развертывания, но и значительно упростит нашу конфигурацию, поскольку на данном этапе нам не придется возиться с сертификатами. Позже мы увидим, как работать с сертификатами, но пока нам не нужно думать об этом. Нажмите Next (Далее).

    Полные настройки готового сервера в картинках

    Рисунок 16

  18. На странице Completing the Create Answer File Wizard (Завершение работы мастера создания файла ответов) нажмите Finish (Завершить).

    Статический пул site to site vpn

    Рисунок 17

  19. Откройте файл ответов (c:\IsaUsrConfig.inf) и посмотрите на него. Обратите внимание, что содержимое файла – простой текст, где можно увидеть администраторские пароли, имена компьютеров и учетных записей. Наличие такого файла в чужих руках очень опасно. Поэтому подумайте, что делать с этим файлом. Помните, что файл должен быть расположен на USB-диске, в корне диска C: ISA-сервера филиала или в папке c:\IsaAnswerFiles ISA-сервера филиала. Скорее всего, вы захотите создать для пользователя, который будет запускать мастер настройки соединения, процедуру удаления этого файла. Назовите ее Activate Branch Office (Подключить филиал) или как-нибудь иначе, чтобы не вызвать любопытства пользователя. Да, я знаю, что все это не слишком безопасно, но это все-таки лучше, чем оставить данный файл на жестком диске ISA-сервера филиала.

    Присоединение удаленного компьютера к домену

    Рисунок 18

  20. Скопируйте файл ответов в корень диска C: ISA-сервера филиала.

Запуск мастера настройки соединения с филиалом на ISA-сервере филиала

Теперь вы можете отправить в филиал ISA-сервер филиала. Пользователю, ответственному на установку ISA-сервера, вы должны дать несколько инструкций о том, как установить и запустить все, что нужно. Информация должны быть следующей:

  1. Инструкции о том, как включить сервер в электросеть, как подключить внешний и внутренний сетевые интерфейсы и как удостовериться, что оба интерфейсы подключены к правильным портам.
  2. Имя и пароль локального администратора. Для запуска мастера пользователю необходимо зарегистрироваться под учетной записью локального администратора.
  3. Процедуры, необходимые для запуска мастера настройки соединения. Файл ответов будет найден автоматически, в нем есть вся необходимая информация. Пользователю нужно просто запустить мастер, руководствуясь вашими инструкциями
  4. На рабочий стол поместите ссылку на удаление файла установки. Для полного удаления можете воспользоваться программой cipher.exe. Дайте ссылке отвлеченное название, чтобы не вызвать у пользователя любопытство или интерес.
  5. На рабочий стол поместите ссылку на удаление учетной записи локального администратора, которую вы создали для пользователя. Дайте ссылке отвлеченное название, чтобы не вызвать у пользователя любопытство или интерес.
  6. Пусть пользователь свяжется с вами после установки. Так вы сможете убедиться, что файл установки и учетная запись удалены.

Для запуска мастера настройки соединения на ISA-сервере филиала выполните следующее:

  1. Зарегистрируйтесь под учетной записью с правами локального администратора, созданной на ISA-сервере филиала. Откройте Explorer (Проводник) и зайдите в папку C:\Program Files\Microsoft ISA Server. Дважды щелкните по программе AppCfgWzd.exe.

    Альтернативный vpn сервер

    Рисунок 19

  2. Прочтите информацию на странице Welcome to the ISA Server Branch Office VPN Connectivity Wizard (Начало работы мастера настройки VPN-соединения с ISA-сервером филиала) и нажмите Next (Далее).

    Ввод в домен через vpn

    Рисунок 20

  3. На странице Configuring Settings Source (Источник параметров настройки) вы увидите, что мастер автоматически нашел файл настроек и выбрал параметр From a file (Из файла). Убедитесь в правильности имени файла и нажмите Next (Далее).

    Как присоединиить провода впн?

    Рисунок 21

  4. На странице Connection Type (Тип соединения) вы увидите, что мастер автоматически определил, что в качестве протокола VPN будет использоваться L2TP/IPSec. Нажмите Next (Далее).

    Мастер настройки соединения

    Рисунок 22

  5. На странице Array Server Deployment (Расположение в массиве серверов) автоматически выбран параметр This is the first server deployed in the array (Это первый сервер массива). Нажмите Next (Далее).

    Статический пул site to site vpn

    Рисунок 23

  6. На странице Local Site to Site Authentication (Локальная аутентификация для схемы Site-to-Site) из файла ответов автоматически подставится имя учетной записи и пароль для связи с ISA-сервером филиала. Нажмите Next (Далее).

    Присоединение удаленного компьютера к домену

    Рисунок 24

  7. На странице Remote Site VPN IP Addresses (IP-адрес удаленного VPN-узла) из файла ответов автоматически подставятся IP-адреса, отвечающие за сеть главного, а в поле Remote VPN server (IP address or name)(Удаленный VPN-сервер (IP-адрес или имя)) – IP-адрес ISA-сервера главного офиса. Нажмите Next (Далее).

    Vpn через компьютер

    Рисунок 25

  8. На странице Local Network VPN Settings(Установки VPN для локальной сети) автоматически подставится диапазон статических IP-адресов для VPN-клиентов удаленного доступа и VPN-шлюзов. Нажмите Next (Далее).

    Альтернативный сервер хранилища настроек isa 2006

    Рисунок 26

  9. На странице Remote Authentication (Удаленная аутентификация) автоматически появятся учетные данные, которые ISA-сервер филиала будет использовать для связи с ISA-сервером главного офиса. Нажмите Next (Далее).

    Как присоединиить провода впн?

    Рисунок 27

  10. На странице IPSec Authentication(IPSec-аутентификация) автоматически будет выбран вариант использования общих ключей, а сам ключ будет автоматически введен в поле Use pre-shared key (Использовать общий ключ). Нажмите Next (Далее).

    Мастер настройки сервера

    Рисунок 28

  11. Просмотрите настройки на странице Ready to Configure the VPN Connection (Готов к настройке VPN-соединения) и нажмите Next (Далее).

    Построение vpn с филиалом

    Рисунок 29

  12. На странице Join Remote Domain (Присоединить к удаленному домену) опция Join a domain (Ввести в домен) уже выбрана автоматически, а имя домена стоит в соответствующем поле. Нажмите Next (Далее).

    Хранение учетной записи на удаленном сервере

    Рисунок 30

  13. Появится диалоговое окно, сообщающее о том, что после присоединения компьютера к домену компьютер должен быть перезагружен. Нажмите OK.

    Vpn через компьютер

    Рисунок 31

  14. Появится диалоговое окно Join Domain (Ввести в домен), запрашивающее учетные данные пользователя с правами на ввод компьютера к домену. Учетные данные, в соответствие с файлом ответов, автоматически появятся в соответствующих полях. Нажмите OK.

    Альтернативный сервер хранилища настроек

    Рисунок 32

  15. После нажатия кнопки OK в диалоговом окне Join Domain(Ввести в домен) компьютер автоматически перезагрузится.
  16. Пользователь должен опять зарегистрироваться на компьютере под учетной записью с правами локального администратора. Через одну-две минуты после загрузки рабочего стола мастер запустится снова, это значит, что ISA-сервер филиала можно присоединить к массиву. При установлении VPN-соединения по схеме site-to-site возможна задержка, так что до звонка вам о проблеме пользователь должен подождать минут десять.
  17. Когда компьютер будет готов к смене использования собственного сервера хранения настроек на сервер хранения настроек главного филиала, появится окно Resuming the ISA Server Branch Office VPN Connectivity Wizard (Продолжение работы мастера настройки VPN-соединения). Нажмите Next (Далее).

    Готовая схема построения сети офиса

    Рисунок 33

  18. На странице Locate Configuration Storage Server (Найти сервер хранения настроек) в поле Configuration Storage server (Сервер хранения настроек) автоматически появится имя сервера хранения настроек главного офиса. В разделе Connection Credentials (Учетные данные для соединения) автоматически появится имя учетной записи и пароль. Нажмите Next (Далее).

    Мастер настройки сервера

    Рисунок 34

  19. На странице Securely Published Configuration Storage Server(Безопасно опубликованный сервер хранения настроек) у вас есть возможность ввести альтернативный сервер хранения настроек, который может быть использован в случае нарушения VPN-соединения. В нашем примере мы не используем альтернативный сервер хранения настроек, поэтому примите настройки по умолчанию и нажмите Next (Далее).

    Полные настройки готового сервера в картинках

    Рисунок 35

  20. На странице Array Membership (Членство в массиве) автоматически будет выбрана опция Join an existing array (Присоединить к существующему домену). Нажмите Next (Далее).

    Хранение учетной записи на удаленном сервере

    Рисунок 36

  21. На странице Join Existing Array (Присоединить к существующему домену) автоматически будет введено имя массива Branch. Нажмите Next (Далее).

    Alternate securely published configuration storage server

    Рисунок 37

  22. На странице Configuration Storage Server Authentication Options (Варианты аутентификации сервера хранения настроек) автоматически будет выбрана опция Windows Authentication (Аутентификация Windows). Мы используем аутентификацию Windows, поскольку данный компьютер является членом домена, что является наилучшим использованием ISA-сервера. Нажмите Next (Далее).

    Альтернативный сервер хранилища настроек

    Рисунок 38

  23. На странице Ready to Configure the ISA Server (Готов к настройке ISA-сервера) нажмите Next (Далее).

    Ввод в домен через vpn

    Рисунок 39

  24. На странице Configuring the ISA Server (Настройка ISA-сервера) появится индикатор выполнения процесса. Данная фаза может занять достаточно длительное время в зависимости от скорости соединения и других факторов. У меня данный процесс порой занимал более 30 минут. Не смотрите в журнал событий до того, как не пройдет как минимум полчаса для установки соединения. Если вы обнаружите, что VPN-соединение и мастер установки не работают, не смотря на длительное ожидание, тогда вы можете просмотреть журнал событий для устранения неполадок.

    Как создать vpn с доменом?

    Рисунок 40

  25. После того, как ISA-сервер филиала успешно переключится с использования локального сервера хранения настроек на сервер хранения настроек главного офиса, появится окно Completing the Appliance Setup Wizard (Завершение работы мастера установки устройства). Вы можете спросить, что это за «мастер установки устройства». Действительно, мы же до сих пор работали с мастером настройки соединения. У меня нет ответа на это вопрос, но я подозреваю, что на определенном этапе разработки мастер настройки соединения назывался мастером установки устройства, позже имя мастера сменилось, а окно обновить забыли. Но, как бы он там ни назывался, мастер свою работу закончил! Нажмите Finish (Завершить).

    Полные настройки готового сервера в картинках

    Рисунок 41

  26. Появится диалоговое окно, сообщающее вам о том, что ISA-сервер филиала необходимо перегрузить. Нажмите OK.

    Статический пул site to site vpn

    Рисунок 42

  27. Пусть пользователь опять зарегистрируется на компьютере под учетной записью с правами локального администратора, которой он пользовался ранее. Дайте ему указание запустить файлы, созданные вами для удаления файла ответов и учетной записи пользователя. Затем он должен завершить работу. ISA-сервер филиала настроен и готов к работе. Все настройки и управление теперь можно производить с сервера хранения настроек главного офиса или с любого другого компьютера, настроенного как станция управления.

Резюме

В пятой части статьи мы завершили начальную установку VPN-соединения по схеме site-to-site с помощью использования файла ответов и мастера настройки соединения. В следующей части статьи мы рассмотрим набор правил брандмауэра для запрещения соединений между филиалом и главным офисом. Мы создадим набор правил, которые позволят установить контроллер домена в филиале, и внесем изменения в DNS для поддержки разрешения имен филиала. Помимо этого мы настроим ISA-сервер и DNS филиала на поддержку клиентов брандмауэра филиала и получим, таким образом, прекрасно настроенный сложный контроль над пользователями филиала, которые имеют доступ к главному офису, показав при этом, что ISA-сервер обеспечивает значительно большую безопасность, чем обычный VPN-концентратор. До встречи!

www.isaserver.org


Смотрите также:

Tags: , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]